筆者最近在學(xué)習(xí)使用ida動(dòng)態(tài)破解so文件，剛好想找個(gè)項(xiàng)目來練練手立砸，在破解某音的時(shí)候网沾，發(fā)現(xiàn)某音用了2個(gè)so文件對(duì)其發(fā)送請(qǐng)求的數(shù)據(jù)進(jìn)行加密，所以筆者就從這兩個(gè)開始下手，并且筆者選擇了一個(gè)比較簡單的ttEncrypt.so文件進(jìn)行解密

前面對(duì)某音的源碼進(jìn)行分析著蛙，就能發(fā)現(xiàn)它加密的地方在ttEncrypt.so删铃，筆者在這里就不在重復(fù)了，如果看到此文章的朋友想破解的話踏堡，建議先從源碼開始看起猎唁，然后慢慢找到這個(gè)文件加載的地方，然后再進(jìn)行破解顷蟆，不能直接就開始破解so喔诫隅。好了廢話了這么多，我直接開始吧帐偎！

一逐纬、動(dòng)態(tài)調(diào)試環(huán)境

使用終端打開，連接真機(jī)Ｏ鞣；砩（之前筆者在使用模擬器破解的時(shí)候，發(fā)現(xiàn)是失敗的漫贞！我也不知道為什么甸箱，沒有查，如果知道的朋友可以留言討論一下）

AppledeMacBook-Pro:~ space$ adb devices
List of devices attached
* daemon not running; starting now at tcp:5037
* daemon started successfully
6d16cfb7d440  device
AppledeMacBook-Pro:~ space$ adb shell
santoni:/ $ su
santoni:/ # getenforce
getenforce
Permissive
santoni:/ # setenforce 0
setenforce 0
santoni:/ # cd /data/local/tmp
cd /data/local/tmp
santoni:/data/local/tmp # ./android_server
IDA Android 32-bit remote debug server(ST) v1.22\. Hex-Rays (c) 2004-2017
Listening on 0.0.0.0:23946...

緊接著要進(jìn)行端口轉(zhuǎn)發(fā)

AppledeMacBook-Pro:~ space$ adb forward tcp:23946 tcp:23946

最后打開ida绕辖，筆者這里是32位的

 ](https://upload-images.jianshu.io/upload_images/11633123-b87ebf829105c6a0.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

注意：如果使用模擬器的話pc指針會(huì)直接掉到最下面

二摇肌、開始動(dòng)態(tài)調(diào)試

首先你需要自己構(gòu)造一個(gè)apk擂红，里面調(diào)用你需要破解的so文件仪际，當(dāng)然，你要會(huì)hook昵骤，把調(diào)用的輸入?yún)?shù)獲取和結(jié)果獲取树碱，你就知道輸入了什么和得到什么。還有就是你需要知道輸入是什么才能對(duì)加密進(jìn)行破解是吧变秦！

這個(gè)so文件調(diào)用了一個(gè)native方法是叫handleData(bytes [] bytes, int len );傳進(jìn)去一個(gè)字節(jié)數(shù)據(jù)和一個(gè)長度成榜，好好分析一下吧！

首先你需要做的是找到你要調(diào)試的那個(gè)so文件蹦玫，這里筆者是自己構(gòu)造的赎婚，所以搜索ttEncrypt就能找到自己添加的內(nèi)容了。

[圖片上傳中...(ttEncrypt.png-ea0603-1537953335293-0)]

搜索結(jié)果：

ttEncrypt.png

ttEncryptFunction.png

結(jié)果是這樣的樱溉，很清晰的看到他加載了什么內(nèi)容挣输，這里有好幾個(gè)，作者在看靜態(tài)匯編代碼的時(shí)候發(fā)現(xiàn)函數(shù)在handleData的地方調(diào)用了ss_encrypt和ss_encrypted_size所以筆者決定在handleData里面打斷點(diǎn)

[圖片上傳中...(handleDataARM.png-63994e-1537953407572-0)]

雙擊handleData福贞，就可以看到這個(gè)結(jié)構(gòu)圖撩嚼，按空格就能轉(zhuǎn)成arm匯編代碼

handleDataARM.png

然后就可以在這里打一個(gè)斷點(diǎn)，準(zhǔn)備進(jìn)行調(diào)試

breakpoint.png

begin.png

打好斷點(diǎn)之后就可以開始跑了

IMG_0828.JPG

這是我自己做的apk，調(diào)用了ttEncrypt.so內(nèi)部的方法完丽，我看這個(gè)應(yīng)該沒有簽名檢驗(yàn)恋技，所以直接就能調(diào)用了，據(jù)我所知逻族，某音的另一個(gè)加密文件cms.so的簽名檢驗(yàn)巨多蜻底，所以過兩天我都打算開始破解那個(gè)文件了！廢話不多說瓷耙，

直接按F8進(jìn)行調(diào)試朱躺，注意！F7是單步調(diào)試

r3.png

看到了么搁痛，這個(gè)R3你覺得像什么长搀，這個(gè)應(yīng)該就是長度，還記得么鸡典，這個(gè)native函數(shù)傳入字節(jié)數(shù)組和數(shù)組的長度是吧源请！我們接著往下走，因?yàn)楣P者的macos打開ida調(diào)試的時(shí)候容易奔潰彻况，所以就不截那么多圖谁尸，有關(guān)鍵的地方才截圖吧！

繼續(xù)往下走纽甘，發(fā)現(xiàn)調(diào)用了initKey良蛮，暫時(shí)不知道有什么用，先看寄存器

initKey.png

這里可以F7跳進(jìn)去看悍赢，但是筆者之前已經(jīng)進(jìn)去看過了决瞳，發(fā)現(xiàn)只是初始化一些字節(jié)，而且在ida靜態(tài)代碼可以查看左权，大家可以去自己看一下

initkeyFunc.png

接著這個(gè)順序繼續(xù)往下走皮胡，發(fā)現(xiàn)調(diào)用了這個(gè)ss_encrypted_size大家覺得會(huì)有什么用呢？

ss_encrypt_size.png

當(dāng)筆者看到這個(gè)R0的值的時(shí)候赏迟，你會(huì)發(fā)現(xiàn)屡贺！這不就是輸出結(jié)果的長度嗎？锌杀？甩栈？所以計(jì)算返回長度的算法就在這里，這里筆者就不再進(jìn)去看了糕再，具體算法大家可以自行去查看量没，因?yàn)檫@里涉及某公司的利益，筆者就不放出來了亿鲜。

size_20.png

繼續(xù)按下面往下走允蜈，看見了到了調(diào)用了ss_encrypt這個(gè)函數(shù)冤吨，筆者點(diǎn)擊F7進(jìn)入了這個(gè)函數(shù)內(nèi)部，因?yàn)槿绻苯油伦叩皆捜奶祝銜?huì)發(fā)現(xiàn)很快就跳出handleData的函數(shù)了漩蟆，所以筆者認(rèn)為加密的地方就在里面，所以跳進(jìn)去看了一下

ss_encrypt.png

這里就是ss_encrypt的實(shí)現(xiàn)妓蛮，看到PUSH.W {R4-R9怠李，LR}那么R0-R3干什么去了呢？大家看上面的圖蛤克，是不是前面幾句給R0-R3進(jìn)行了賦值捺癞？這時(shí)候大家可以去看看寄存器里面的內(nèi)容，下面就帶大家看一下吧构挤！

f7ss_encrypt.png

點(diǎn)擊查看R0的內(nèi)容髓介，看到了么？這個(gè)不就是我們的輸入嗎筋现？R0指著第一個(gè)地址下面連續(xù)的都是我們的字節(jié)唐础，R1大家覺得存的是什么？存的是9矾飞，正正是它的長度一膨，然后R3呢？R3存的是0x14洒沦，是16進(jìn)制豹绪，翻譯成10進(jìn)制就是20，這不就是返回的長度么申眼？這就明擺著是加密的地方啊

ss_encryptRo.png

尾部

到這里了瞒津，大家可以自己繼續(xù)往下走下去看它的邏輯了，筆者就不帶著大家繼續(xù)看了豺型！因?yàn)楣P者的蘋果使用ida的時(shí)候仲智，瘋狂奔潰买乃，所以做著難受姻氨，這里就不再帶大家走下去了，下面我在簡單說一下它實(shí)現(xiàn)的邏輯吧剪验！

首先大家記得之前我們有一串key嗎肴焊？走下去發(fā)現(xiàn)這個(gè)key應(yīng)該是個(gè)混淆代碼，如果你傳入的字節(jié)流長度不是16的倍數(shù)功戚，這個(gè)算法會(huì)自動(dòng)幫你補(bǔ)全16位娶眷，當(dāng)然補(bǔ)全用的是它的密鑰數(shù)組，存在程序的某個(gè)地方因?yàn)樯婕澳彻镜睦嫘ネ危髡呔筒环懦鰜砹私斐瑁蠹易孕袑ふ野?/em> 使用你每個(gè)字符作為偏移量在密鑰數(shù)組里面取值烁落，取值之后程序就會(huì)對(duì)你這個(gè)字節(jié)流再做一次操作，按照你的長度來進(jìn)行循環(huán)操作豌注，每16位進(jìn)行一次操作伤塌，首先取字節(jié)流的最高4位進(jìn)行右移32位然后和給定的密鑰（自行查找）進(jìn)行異或操作的到一個(gè)新的32位二進(jìn)制再轉(zhuǎn)成16進(jìn)制填入，然后取5-8位進(jìn)行24位的右移再與一個(gè)密鑰(自行查找) 進(jìn)行異或操作的到新的32位二進(jìn)制再轉(zhuǎn)成16進(jìn)制填入轧铁，然后取9-12位進(jìn)行16位的右移再與一個(gè)密鑰(自行查找) 進(jìn)行異或操作的到新的32位二進(jìn)制再轉(zhuǎn)成16進(jìn)制填入每聪，然后取13-16位進(jìn)行8位的右移再與一個(gè)密鑰(自行查找) 進(jìn)行異或操作的到新的32位二進(jìn)制再轉(zhuǎn)成16進(jìn)制填入。并且循環(huán)齿风，最后的到結(jié)果就是正確的結(jié)果了药薯。